Computer-Assited Audit Tools and Techniques

Tugas Mata Kuliah

Auditing EDP

Oleh :

Anggun Ariska (150810301014)

Rima Puspita (150810301023)
Rizka Kurnia Dewi (150810301049)

Program Studi Akuntansi

Fakultas Ekonomi

Universitas Jember

Tahun 2018
 PENDAHULUAN

Perkembangan zaman semakin hari semakin pesat, hal ini berpengaruh juga
dengan dunia ekonomi. Karena semakin maju keadaan ekonomi sutu Negara
menandakan bahwa Negara itu semakin berkembang. Oleh sebab itu berpengaruh
pula di dalam dunia akuntansi khususnya Auditing karena Dalam Standar Profesional
Akuntan Publik (SPAP) juga ditekankan perlunya pemahaman auditor dalam
pemeriksaan sebuah sistem akuntansi berbasis komputer. Sehingga dunia audit
sekarang mempunyai teknik Audit yang berbantuan Komputer ( TABK ) atau Computer
Assisted Audit Technique Tools (CAATT) yaitu setiap penggunaan teknologi informasi
sebagai alat bantu dalam kegiatan audit. Penggunaan TABK atau CAATTs akan
meningkatkan efisiensi dan efektivitas auditor dalam melaksanakan audit dengan
memanfaatkan segala kemampuan yang dimiliki oleh komputer.

Ada beberapa pendekatan yang dapat dipilih oleh seorang auditor apabila
menggunakan teknik audit berbantuan komputer. Pendekatan audit dengan bantuan
komputer merupakan cara audit yang sangat bermanfaat untuk pengujian subtantif
atau file/ data/ record perusahaan. Teknik audit berbantuan komputer melibatkan
komputer atau software audit untuk membantu pengujian serta evaluasi file / data
perusahaan relatif lebih mudah dibandingkan dengan pengujian terhadap program
maupun prosedur pengolahan data. Pelaksanaan Pemeriksaan program atau sistem
memerlukan keahlian tertentu auditor dalam bidang teknologi informasi. Hal ini yang
perlu diingat ialah bahwa pengguna software audit perlu pertimbangan antara biaya
dan manfaat.
Penjelasan singkat ini menunjukkan bahwa betapa pentingnya Computer-
Assited Audit Tools and Techniques (CAAT) atau audit berbasis computer yang
berguna untuk mengkombinasikan pemahaman mengenai pentingnya keahlian audit
dengan pengetahuan sistem informasi berbasis komputer akan menghasilkan
peningkatan yang sangat signifikan dalam proses audit sistem informasi. TABK/CAAT
merupakan perangkat dan teknik yang digunakan untuk menguji (baik secara langsung
maupun tidak langsung) logika internal dari suatu aplikasi komputer yang digunakan
untuk mengolah data.
 PEMBAHASAN

A. KONTROL APLIKASI
Kontrol aplikasi adalah prosedur yang diprogram yang dirancang untuk
menghadapi potensi ekspo yang mengancam aplikasi tertentu, seperti sistem
pembayaran gaji, pembelian, dan pengeluaran uang tunai. Kontrol aplikasi dibagi
menjadi tiga kategori besar: kontrol input, kontrol pemrosesan, dan kontrol output.

1. Kontrol Masukan
Komponen pengumpulan data dari sistem informasi bertanggung jawab untuk
membawa data ke dalam sistem untuk diproses. Kontrol input pada tahap ini
dirancang untuk memastikan bahwa transaksi ini valid, akurat, dan lengkap.
Prosedur input data dapat berupa source-triggered (batch) atau input langsung
(real time).
Masukan dokumen sumber membutuhkan keterlibatan manusia dan rentan
terhadap kesalahan administrasi. Beberapa jenis kesalahan yang dimasukkan
pada dokumen sumber tidak dapat dideteksi dan diperbaiki selama tahap input
data. Berurusan dengan masalah ini mungkin memerlukan pelacakan transaksi
kembali ke sumbernya (seperti menghubungi pelanggan) untuk memperbaiki
kesalahan pengambilan. Masukan langsung, di sisi lain, menggunakan teknik
pengeditan real-time untuk mengidentifikasi dan memperbaiki kesalahan dengan
segera, sehingga secara signifikan mengurangi jumlah kesalahan yang masuk ke
sistem.

a) Kelas Kontrol Input

Untuk kenyamanan presentasi dan untuk menyediakan struktur untuk diskusi
ini, kontrol input dibagi ke dalam kelas luas sebagai berikut:
a. Kontrol Dokumen Sumber
b. Kontrol Pengkodean Data
c. Kontrol Batch
d. Kontrol Validasi
e. Koreksi Kesalahan Input
f. Sistem Input Data Umum

Kelas-kelas kontrol ini bukanlah divisi yang saling terpisah. Beberapa teknik
kontrol yang akan kita kaji dapat masuk secara logis ke dalam lebih dari satu kelas.

 Kontrol Dokumen Sumber

 Kontrol yang hati-hati harus dilakukan terhadap dokumen sumber fisik dalam
sistem yang menggunakannya untuk memulai transaksi. Penipuan dokumen
sumber dapat digunakan untuk menghapus aset dari organisasi. Misalnya, seorang
individu dengan akses ke pesanan pembelian dan menerima laporan dapat
membuat transaksi pembelian ke pemasok yang tidak ada. Jika dokumen-dokumen
ini dimasukkan ke dalam aliran pemrosesan data, bersama dengan faktur vendor
yang dibuat, sistem dapat memproses dokumen-dokumen ini seolah-olah transaksi
yang sah telah terjadi. Dengan tidak adanya kontrol kompensasi lain untuk
mendeteksi jenis penipuan ini, sistem akan membuat hutang akun dan selanjutnya
menulis pembayaran dalam bentuk cek.

Untuk mengontrol terhadap jenis paparan ini, organisasi harus menerapkan

prosedur kontrol atas dokumen sumber untuk memperhitungkan setiap dokumen,
seperti yang dijelaskan berikut ini:

Gunakan Dokumen Sumber Pra-nomor

Dokumen sumber harus diberi nomor dari printer dengan nomor urut unik pada
setiap dokumen. Nomor dokumen sumber memungkinkan pembukuan yang
akurat atas penggunaan dokumen dan memberikan jejak audit untuk transaksi
penelusuran melalui catatan akuntansi. Kami membahas ini lebih lanjut di
bagian selanjutnya.
Gunakan Dokumen Sumber dalam Urutan
Dokumen sumber harus didistribusikan kepada pengguna dan digunakan
secara berurutan. Ini mensyaratkan bahwa keamanan fisik yang memadai
menjadi sumber utama persediaan dokumen sumber di situs pengguna. Saat
tidak digunakan, dokumen harus dikunci. Sepanjang waktu, akses ke dokumen
sumber harus dibatasi untuk orang yang berwenang.
Dokumen Sumber Audit Secara Berkala
Rekonsiliasi nomor urut dokumen harus mengidentifikasi dokumen sumber
yang hilang. Secara berkala, auditor harus membandingkan jumlah dokumen
yang digunakan hingga saat ini dengan yang tersisa dalam inventaris ditambah
yang dibatalkan karena kesalahan. Dokumen yang tidak diperhitungkan harus
dilaporkan kepada manajemen.

 Kontrol Coding Data

Kontrol coding adalah memeriksa integritas kode data yang digunakan dalam
pemrosesan. Nomor akun pelanggan, nomor barang inventaris, dan bagan
nomor akun adalah contoh kode data. Tiga jenis kesalahan dapat merusak
kode data dan menyebabkan kesalahan pemrosesan: kesalahan transkripsi,
 kesalahan transposisi tunggal, dan beberapa kesalahan transposisi. Kesalahan
transkrip menjadi tiga kelas:
1. Kesalahan tambahan terjadi ketika digit atau karakter tambahan
ditambahkan ke kode. Misalnya, nomor item persediaan 83276 dicatat
sebagai 832766.
2. Kesalahan pemotongan terjadi ketika digit atau karakter dihapus dari
bagian akhir kode. Dalam jenis kesalahan ini, item inventaris di atas akan
dicatat sebagai 8327.
3. Kesalahan substitusi adalah penggantian satu digit dalam kode dengan
yang lain. Misalnya, nomor kode 83276 dicatat sebagai 83266.

Ada dua jenis kesalahan transposisi. Kesalahan transposisi tunggal terjadi

ketika dua digit yang berdekatan dibalik. Misalnya, 83276 dicatat sebagai
38276. Beberapa kesalahan posisi trans terjadi ketika digit yang tidak
berdekatan dialihkan. Misalnya, 83276 dicatat sebagai 87236.

Setiap kesalahan ini dapat menyebabkan masalah serius dalam pemrosesan

data jika mereka tidak terpengaruh. Misalnya, pesanan penjualan untuk pelanggan
732519 yang diubah menjadi 735219 akan diposkan ke akun pelanggan yang
salah. Kesalahan serupa dalam kode barang inventaris pada pesanan pembelian
dapat mengakibatkan pemesanan persediaan yang tidak diperlukan dan gagal
memesan inventaris yang diperlukan. Kesalahan sederhana ini dapat sangat
mengganggu operasi.

Periksa Digit.

Salah satu metode untuk mendeteksi kesalahan pengkodean data adalah

angka cek. Digit cek adalah digit kontrol (atau digit) yang ditambahkan ke kode
ketika awalnya ditetapkan yang memungkinkan integritas kode yang akan
ditetapkan selama pemrosesan berikutnya. Digit cek dapat ditemukan di mana
saja dalam kode: sebagai awalan, akhiran, atau disematkan beberapa tempat di
tengah. Bentuk cek digit yang paling sederhana adalah menjumlahkan digit dalam
kode dan menggunakan jumlah ini sebagai digit cek. Misalnya, untuk kode akun
pelanggan 5372, digit cek yang dihitung akan menjadi

5 + 3 + 7 + 2 = 17

Dengan menjatuhkan kolom puluhan, cek digit 7 ditambahkan ke kode asli

untuk menghasilkan kode baru 53727. Seluruh string digit (termasuk digit cek)
menjadi nomor akun pelanggan. Selama entri data, sistem dapat menghitung
ulang digit cek untuk memastikan bahwa kode sudah benar. Teknik ini hanya akan
mendeteksi kesalahan transkripsi. Sebagai contoh, jika terjadi kesalahan substitusi
dan kode di atas dimasukkan sebagai 52727, digit cek yang dihitung akan menjadi
6 (5 + 2 + 7 + 2 = 16 = 6), dan kesalahan akan terdeteksi. Namun, teknik ini akan
gagal mengidentifikasi kesalahan transposisi. Misalnya, mentransmisikan dua digit
pertama menghasilkan kode 35727, yang masih dijumlahkan 17 dan menghasilkan
cek digit 7. Kesalahan ini akan tidak terdeteksi.

Ada banyak teknik check-digit untuk menangani kesalahan transposisi. Metode

pop ular adalah modulus 11. Dengan menggunakan kode 5372, langkah-langkah
dalam teknik ini adalah sebagai berikut:

1. Tetapkan bobot
Setiap digit dalam kode dikalikan dengan berat yang berbeda. Dalam hal ini,
bobot yang digunakan adalah 5, 4, 3, dan 2, ditampilkan sebagai berikut:
Digit Berat
5 x 5 = 25
3 x 4 = 12
7 x 3 = 21
2x2=4
2. Jumlahkan produk (25 + 12 + 21 + 4 = 62).
3. Bagilah dengan modulus. Kami menggunakan modulus 11 dalam kasus ini,
memberikan 62111 = 5 dengan sisa 7.
4. Kurangkan sisa dari modulus untuk mendapatkan digit cek (11 - 7 = 4 [periksa
digit]).
5. Tambahkan digit cek ke kode asli untuk menghasilkan kode baru: 53724.

Dengan menggunakan teknik ini untuk menghitung ulang angka cek selama
pemrosesan, kesalahan transposisi dalam kode akan menghasilkan digit cek
selain 4. Sebagai contoh, jika kode sebelumnya dimasukkan secara salah sebagai
35724, digit cek yang dihitung ulang akan menjadi 6.

Kapan Harus Memeriksa Digit Digunakan?

Penggunaan check digit memperkenalkan penyimpanan dan pemrosesan

inefisiensi dan karenanya harus dibatasi untuk data penting, seperti bidang kunci
primer dan sekunder. Semua teknik cek digit membutuhkan satu atau lebih ruang
tambahan di lapangan untuk mengakomodasi digit cek. Dalam kasus modulus 11,
jika langkah ketiga di atas menghasilkan sisa 1, digit pemeriksa 10 akan
membutuhkan dua ruang karakter tambahan. Jika panjang bidang adalah batasan,
salah satu cara untuk menangani masalah ini adalah dengan melarang kode yang
menghasilkan digit cek 10. Ini akan membatasi jangkauan kode yang tersedia
sekitar 9 persen.

 Kontrol Batch

Kontrol batch adalah metode yang efektif untuk mengelola volume tinggi data
transaksi melalui suatu sistem. Tujuan pengendalian batch adalah untuk
mendamaikan output yang dihasilkan oleh sistem dengan input yang awalnya
dimasukkan ke dalam sistem. Ini memberikan jaminan bahwa:

 Semua catatan dalam batch diproses.

 Tidak ada catatan yang diproses lebih dari satu kali.
 Jejak audit transaksi dibuat dari input melalui pemrosesan ke tahap output dari
sistem.

Kontrol batch tidak secara eksklusif merupakan teknik kontrol input. Mengontrol
bets terus berlanjut melalui semua fase sistem. Kami memperlakukan topik ini di
sini karena kontrol batch dimulai pada tahap input.

Mencapai tujuan pengendalian batch membutuhkan pengelompokan jenis

transaksi input yang serupa (seperti pesanan penjualan) bersama-sama dalam
batch dan kemudian mengendalikan batch melalui pemrosesan data. Dua
dokumen digunakan untuk menyelesaikan tugas ini: lembar transmittal batch dan
log kontrol batch. Lembar pengiriman batch menangkap informasi yang relevan
seperti berikut tentang batch.

 Nomor batch yang unik

 Tanggal batch
 Kode transaksi (menunjukkan jenis transaksi, seperti pesanan penjualan atau
tanda terima tunai)
 Jumlah record dalam batch (hitungan record)
 Nilai total dolar dari bidang keuangan (total kontrol batch)
 Total bidang nonfinansial unik (total hash)

Biasanya, lembar pengiriman transmittal disiapkan oleh departemen pengguna

dan diserahterimakan ke kontrol data bersama dengan kumpulan dokumen
sumber. Terkadang, petugas kontrol data, bertindak sebagai penghubung antara
pengguna dan departemen pemrosesan data, menyiapkan lembar pengiriman.
 Petugas kontrol data menerima transaksi dari pengguna yang dikumpulkan
dalam kumpulan 40 hingga 50 catatan. Petugas menugaskan setiap bets nomor
unik, stempel tanggal dokumen, dan menghitung (atau menghitung ulang)
bilangan kontrol bets, seperti total jumlah dolar dari bets dan total hash (dibahas
nanti). Petugas memasukkan informasi kontrol batch dalam log kontrol batch dan
menyerahkan kumpulan dokumen, bersama dengan lembar pengiriman, ke
departemen entri data.

Kode grup entri data dan memasukkan data lembar transmittal ke dalam
transaksi file, bersama dengan batch catatan transaksi. Data pengiriman dapat
ditambahkan sebagai catatan tambahan dalam file atau ditempatkan di label trailer
internal file. Lembar transmittal menjadi catatan kontrol batch dan digunakan untuk
menilai integritas batch selama pemrosesan. Misalnya, prosedur entri data akan
menghitung ulang total kontrol batch untuk memastikan batch dalam
keseimbangan. Catatan transmital menunjukkan batch 50 catatan pesanan
penjualan dengan total nilai dolar $ 122,674.87 dan total hash sebesar 4537838.
Pada berbagai titik di sepanjang dan pada akhir pemrosesan, jumlah ini dihitung
ulang dan dibandingkan dengan kabel kontrol batch re. Jika prosedur menghitung
ulang jumlah yang sama, jumlah yang seimbang.

Setelah diproses, hasil output dikirim ke petugas kontrol data untuk rekonsiliasi
dan distribusi kepada pengguna. Petugas memperbarui log kontrol batch untuk
mencatat bahwa proses batch telah berhasil diselesaikan.

 Hash Total

Istilah hash total, yang digunakan dalam diskusi sebelumnya, mengacu pada
teknik kontrol sederhana yang menggunakan data non finansial untuk melacak
rekaman dalam batch. Bidang kunci apa pun, seperti nomor akun pelanggan,
nomor pesanan pembelian, atau nomor item inventaris, dapat digunakan untuk
menghitung total hash. Dalam contoh berikut, bidang nomor pesanan (SO #) untuk
seluruh batch catatan pesanan penjualan dijumlahkan untuk menghasilkan total
hash.
 Asumsikan bahwa setelah kumpulan catatan ini meninggalkan kontrol data,
seseorang mengganti salah satu pesanan penjualan dalam batch dengan catatan
fiktif dari jumlah dolar yang sama. Bagaimana prosedur pengendalian batch
mendeteksi ketidakteraturan ini? Baik jumlah catatan dan jumlah total kontrol dolar
tidak akan terpengaruh oleh tindakan ini. Namun, kecuali pelaku memperoleh
dokumen sumber dengan nomor pesanan penjualan yang sama persis (yang tidak
mungkin, karena mereka harus secara unik diberi nomor dari printer), total hash
yang dihitung oleh proksi kontrol batch tidak akan seimbang. Dengan demikian,
ketidakteraturan akan terdeteksi.

 Kontrol Validasi

Kontrol validasi masukan dimaksudkan untuk mendeteksi kesalahan dalam

data transaksi sebelum data diproses. Prosedur validasi paling efektif bila
dilakukan sedekat mungkin dengan sumber transaksi. Namun, tergantung pada
jenis teknologi yang digunakan, validasi input dapat terjadi pada berbagai titik
dalam sistem. Sebagai contoh, beberapa prosedur validasi memerlukan
pembuatan referensi terhadap file master saat ini. Sistem yang menggunakan
pemrosesan real-time atau pemrosesan batch dengan file master akses langsung
dapat memvalidasi data pada tahap input.

Jika sistem menggunakan pemrosesan batch dengan file sekuensial, catatan

transaksi yang divalidasi harus terlebih dahulu diurutkan dalam urutan yang sama
dengan file master. Memvalidasi pada tahap input data dalam kasus ini mungkin
memerlukan pemrosesan tambahan yang cukup besar. Oleh karena itu, sebagai
masalah praktis, setiap modul pemrosesan sebelum memperbarui catatan file
master melakukan beberapa prosedur validasi. Masalah dengan teknik ini adalah
bahwa transaksi dapat diproses sebagian sebelum kesalahan data terdeteksi.
Berurusan dengan transaksi yang selesai sebagian akan memerlukan prosedur
penanganan kesalahan khusus. Kami akan membahas kontrol penanganan
kesalahan nanti di bagian ini.

Ada tiga tingkat kontrol validasi input:

1. Interogasi lapangan
2. Rekam interogasi
3. Interogasi file

Interogasi Lapangan
 Interogasi lapangan melibatkan prosedur yang diprogram yang menguji
karakteristik data di lapangan. Berikut ini adalah beberapa jenis interogasi
lapangan yang umum.

Pengecekan data yang tidak ada digunakan untuk memeriksa isi dari suatu
bidang untuk keberadaan ruang kosong. Beberapa bahasa pemrograman bersifat
membatasi untuk pembenaran (kanan atau kiri) data dalam bidang tersebut. Jika
data tidak dibenarkan dengan benar atau jika karakter hilang (telah diganti dengan
kosong), nilai dalam bidang akan diproses secara tidak benar. Dalam beberapa
kasus, kehadiran kosong dalam bidang data numerik dapat menyebabkan
kegagalan sistem. Ketika program validasi mendeteksi kosong di mana ia
mengharapkan untuk melihat nilai data, ini akan ditafsirkan sebagai kesalahan.

Pemeriksaan data numerik-alfabetik menentukan apakah bentuk data yang

benar berada dalam sebuah bidang. Misalnya, saldo akun pelanggan tidak boleh
berisi data abjad. Seperti kosong, data abjad dalam bidang angka dapat
menyebabkan kesalahan pemrosesan yang serius.

Pemeriksaan nilai nol digunakan untuk memverifikasi bahwa bidang-bidang

tertentu diisi dengan nol. Beberapa bahasa program mengharuskan bidang yang
digunakan dalam operasi matematika dimulai dengan nol sebelum diproses.
Kontrol ini dapat memicu kontrol korektif otomatis untuk mengganti isi bidang
dengan nol jika mendeteksi nilai bukan nol.

Batasi pemeriksaan menentukan apakah nilai di lapangan melebihi batas yang

diizinkan. Sebagai contoh, asumsikan kebijakan perusahaan adalah bahwa tidak
ada karyawan yang bekerja lebih dari 44 jam per minggu. Program validasi sistem
penggajian dapat menginterogasi bidang jam kerja dalam catatan penggajian
mingguan untuk nilai yang lebih besar dari 44.

Rentang pemeriksaan menetapkan batas atas dan bawah ke nilai data yang
dapat diterima. Misalnya, jika kisaran tingkat pembayaran untuk karyawan per jam
dalam perusahaan adalah antara 8 dan 20 dolar, semua catatan penggajian dapat
diperiksa untuk melihat bahwa rentang ini tidak terlampaui. Tujuan dari kontrol ini
adalah untuk mendeteksi kesalahan keystroke yang menggeser titik desimal satu
atau lebih banyak tempat. Itu tidak akan mendeteksi kesalahan di mana tingkat
pembayaran yang benar, katakanlah, 9 dolar salah dimasukkan sebagai 15 dolar.
 Pemeriksaan validitas membandingkan nilai aktual dalam bidang terhadap nilai
yang dapat diterima yang diketahui. Kontrol ini digunakan untuk memverifikasi hal-
hal seperti kode transaksi, singkatan negara, atau kode keterampilan kerja
karyawan. Jika nilai di lapangan tidak sesuai dengan salah satu nilai yang dapat
diterima, catatan tersebut dianggap salah.

Ini adalah kontrol yang sering digunakan dalam sistem pencairan tunai. Salah
satu bentuk penipuan pencairan uang tunai melibatkan memanipulasi sistem untuk
membuat pembayaran palsu ke vendor yang tidak ada. Untuk mencegah hal ini,
perusahaan dapat membuat daftar vendor yang valid dengan siapa ia melakukan
bisnis secara eksklusif. Dengan demikian, sebelum pembayaran kewajiban
perdagangan, nomor vendor pada voucher pencairan tunai dicocokkan dengan
daftar dor yang valid oleh program validasi. Jika kode tidak cocok, pembayaran
ditolak, dan manajemen meninjau transaksi.

Periksa kontrol digit mengidentifikasi kesalahan keystroke di bidang kunci

dengan menguji internal validitas kode. Kami membahas teknik kontrol ini
sebelumnya di bagian.

Rekam Interogasi

Rekam prosedur interogasi memvalidasi seluruh catatan dengan memeriksa

keterkaitan nilai-nilai bidangnya. Beberapa tes tipikal dibahas di bawah ini.

Pemeriksaan masuk akal menentukan apakah suatu nilai dalam satu bidang,
yang telah melewati pemeriksaan batas dan pemeriksaan rentang, masuk akal bila
dipertimbangkan bersama dengan bidang data lain dalam catatan. Misalnya,
tingkat gaji karyawan sebesar 18 dolar per jam berada dalam kisaran yang dapat
diterima. Namun, tingkat ini berlebihan jika dibandingkan dengan kode
keterampilan kerja karyawan sebesar 693; karyawan di kelas keterampilan ini tidak
pernah menghasilkan lebih dari 12 dolar per jam.

Tanda cek adalah tes untuk melihat apakah tanda bidang sudah benar untuk
jenis rekaman yang sedang diproses. Misalnya, dalam sistem pemrosesan
pesanan penjualan, bidang jumlah dolar harus positif untuk pesanan penjualan
tetapi negatif untuk transaksi penjualan kembali. Kontrol ini dapat menentukan
kebenaran tanda dengan membandingkannya dengan bidang kode transaksi.
 Pemeriksaan urutan digunakan untuk menentukan apakah suatu catatan tidak
sesuai pesanan. Dalam sistem batch yang menggunakan file master sekuensial,
file transaksi yang sedang diproses harus diurutkan dalam urutan yang sama
dengan kunci primer dari file master yang sesuai. Persyaratan ini sangat penting
untuk logika pemrosesan program pembaruan. Oleh karena itu, sebelum setiap
catatan transaksi diproses, urutannya diverifikasi relatif terhadap catatan
sebelumnya yang diproses.

Interogasi File

Tujuan dari interogasi file adalah untuk memastikan bahwa file yang benar
sedang diproses oleh sistem. Kontrol ini sangat penting untuk file induk, yang
berisi catatan permanen dari perusahaan dan yang, jika hancur atau rusak, sulit
untuk diganti.

Pemeriksaan label internal memverifikasi bahwa file yang diproses adalah yang
sebenarnya diminta oleh program. File yang disimpan pada pita magnetik
biasanya disimpan secara off-line di perpustakaan tape. File-file ini memiliki label
eksternal yang mengidentifikasi mereka (berdasarkan nama dan nomor seri) ke
tape li brarian dan operator. Pelabelan eksternal biasanya merupakan prosedur
manual dan, seperti halnya tugas manual, rentan terhadap kesalahan. Kadang-
kadang, label eksternal yang salah secara salah ditempelkan ke file ketika dibuat.
Jadi, ketika file dipanggil lagi, file yang salah akan diambil dan ditempatkan pada
tape drive untuk diproses. Tergantung pada bagaimana file tersebut digunakan, ini
dapat mengakibatkan kehancuran atau korupsi. Untuk mencegah hal ini, sistem
operasi membuat label header internal yang ditempatkan di awal file. Untuk
memastikan bahwa file yang benar akan diproses, sistem akan cocok dengan
nama file dan nomor seri di label header dengan persyaratan file program. Jika file
yang salah telah dimuat, sistem akan mengirim operator pesan dan
menangguhkan pemrosesan. Perlu dicatat bahwa meskipun pemeriksaan label
umumnya merupakan fitur standar, ini adalah opsi yang dapat ditimpa oleh
programmer dan operator.

Pemeriksaan versi digunakan untuk memverifikasi bahwa versi file yang

sedang diproses adalah cor rect. Dalam pendekatan kakek-nenek-anak, banyak
versi file master dan transaksi mungkin ada. Pemeriksaan versi membandingkan
nomor versi file yang sedang diproses dengan persyaratan program.
 Pemeriksaan tanggal kedaluwarsa mencegah file dihapus sebelum berakhir.
Dalam sistem GPC, misalnya, setelah jumlah file cadangan yang memadai dibuat,
file cadangan tertua digores (dihapus dari disk atau pita) untuk menyediakan ruang
bagi file baru.

Untuk melindungi dari menghancurkan file yang aktif secara tidak sengaja,
sistem akan memeriksa terlebih dahulu tanggal kedaluwarsa tercantum dalam
label header. Jika periode retensi belum kedaluwarsa, sistem akan menghasilkan
pesan kesalahan dan membatalkan prosedur gores. Kontrol tanggal kedaluwarsa
adalah ukuran opsional. Panjang periode retensi ditentukan oleh programmer dan
berdasarkan jumlah file cadangan yang diinginkan. Jika programmer memilih
untuk tidak menentukan tanggal kedaluwarsa, kontrol terhadap penghapusan tidak
disengaja dihapuskan.

 Pengoreksian Kesalahan Input

Ketika kesalahan terdeteksi dalam batch, mereka harus dikoreksi dan catatan
dikirim kembali untuk diproses ulang. Ini harus menjadi proses yang terkontrol
untuk memastikan bahwa kesalahan ditangani sepenuhnya dan benar. Ada tiga
teknik penanganan kesalahan umum: (1) benar segera, (2) membuat file
kesalahan, dan (3) menolak seluruh batch.

Segera Koreksi

Jika sistem menggunakan pendekatan validasi data langsung, deteksi

kesalahan dan koreksi juga dapat terjadi selama entri data. Setelah mendeteksi
kesalahan penekanan tombol atau hubungan tidak logis, sistem harus
menghentikan prosedur entri data sampai pengguna memperbaiki kesalahan.

Buat File Kesalahan

Ketika validasi tertunda sedang digunakan, seperti dalam sistem batch dengan
file sekuensial, kesalahan individu harus ditandai untuk mencegah mereka dari
proCessed. Pada akhir prosedur validasi, catatan ditandai sebagai kesalahan
dihapus dari batch dan ditempatkan dalam file memegang kesalahan sementara
sampai kesalahan dapat diselidiki.

Beberapa kesalahan dapat dideteksi selama prosedur input data. Namun,

seperti yang disebutkan sebelumnya, modul pembaruan melakukan beberapa tes
validasi. Dengan demikian, catatan kesalahan dapat ditempatkan pada file
kesalahan di beberapa titik berbeda dalam proses.

Pada setiap titik validasi, sistem secara otomatis menyesuaikan total kontrol
batch untuk mencerminkan penghapusan catatan kesalahan dari batch. Dalam
prosedur terpisah, perwakilan pengguna yang berwenang akan melakukan koreksi
terhadap catatan kesalahan dan mengirimkannya kembali sebagai batch terpisah
untuk diproses ulang.

Kesalahan yang terdeteksi selama pemrosesan memerlukan penanganan yang

hati-hati. Rekaman ini mungkin sudah diproses sebagian. Oleh karena itu, hanya
mengirim ulang catatan yang dikoreksi ke sistem melalui tahap input data dapat
menghasilkan pemrosesan bagian dari transaksi ini dua kali. Ada dua metode
untuk mengatasi kerumitan ini. Yang pertama adalah re verse efek dari transaksi
yang diproses sebagian dan mengirimkan ulang catatan yang dikoreksi ke tahap
input data. Yang kedua adalah memasukkan kembali catatan yang sudah dikoreksi
ke tahap proses di mana kesalahan terdeteksi. Dalam kedua kasus, prosedur
kontrol batch (catatan pengontrolan batch pra pengupas dan pencatatan batch)
berlaku untuk data yang dikirim ulang, seperti yang mereka lakukan untuk
pemrosesan batch normal.

Tolak Batch

Beberapa bentuk kesalahan terkait dengan seluruh kelompok dan tidak secara
jelas disebabkan oleh catatan individu. Contoh dari jenis kesalahan ini adalah
keseimbangan dalam total kontrol batch. Asumsikan bahwa lembar pengiriman
untuk batch pesanan penjualan menunjukkan nilai penjualan total $ 122.674,87,
tetapi prosedur input data menghitung total penjualan hanya $ 121.454,32. Apa
yang menyebabkan ini? Apakah masalah itu adalah catatan yang hilang atau
berubah? Atau apakah petugas kontrol data salah menghitung total kontrol batch?
Solusi yang paling efektif dalam hal ini adalah menghentikan pemrosesan dan
mengembalikan seluruh batch ke kontrol data untuk mengevaluasi, mengoreksi,
dan mengirim ulang.

Batch kesalahan adalah salah satu alasan untuk menjaga ukuran batch ke
nomor yang dapat dikelola. Terlalu sedikit catatan dalam batch membuat
pemrosesan batch tidak efisien. Terlalu banyak record membuat deteksi kesalahan
menjadi sulit, menciptakan gangguan bisnis yang lebih besar ketika batch ditolak,
dan meningkatkan kemungkinan kesalahan saat menghitung total kontrol batch.

 Sistem Input Data Umum

Untuk mencapai tingkat kontrol yang tinggi dan stan dardization atas prosedur
validasi input, beberapa organisasi menggunakan sistem input data umum (GDIS).
Teknik ini termasuk prosedur terpusat untuk mengelola input data untuk semua
sistem pemrosesan transaksi organisasi. Pendekatan GDIS pro memiliki tiga
keuntungan. Pertama, meningkatkan kontrol dengan memiliki satu sistem umum
melakukan semua validasi data. Kedua, GDIS memastikan bahwa setiap aplikasi
AIS menerapkan standar konsisten untuk validasi data. Ketiga, GDIS
meningkatkan efisiensi pengembangan sistem. Mengingat tingginya tingkat
kesamaan dalam persyaratan validasi input untuk aplikasi AIS, GDIS
menghilangkan kebutuhan untuk membuat ulang rutinitas berlebihan untuk setiap
aplikasi baru. GDIS memiliki lima komponen utama yaitu:

1. Modul validasi umum

2. File data yang divalidasi
3. File kesalahan
4. Laporan kesalahan
5. Log transaksi

 Modul Validasi Generalized. Modul validasi umum (GVM) melakukan rutin

validasi standar yang umum untuk banyak aplikasi yang berbeda. Rutinitas ini
disesuaikan dengan kebutuhan aplikasi individu melalui parameter yang
menentukan persyaratan spesifik program. Misalnya, GVM dapat menerapkan
pemeriksaan rentang ke bidang RATE PERINGKAT catatan penggajian. Batas
kisarannya 6 dolar dan 15 dolar. Uji jangkauan adalah prosedur umum; batas
dolar parameter yang menyesuaikan prosedur ini. Prosedur validasi untuk
beberapa aplikasi mungkin sangat unik untuk menentang solusi umum. Untuk
memenuhi tujuan dari sistem input data umum, GVM harus cukup fleksibel
untuk memungkinkan prosedur khusus yang ditentukan pengguna untuk
aplikasi unik. Prosedur ini disimpan, bersama dengan prosedur umum, dan
diminta oleh GVM sesuai kebutuhan.

 File Data Tervalidasi

Data input yang divalidasi oleh GVM disimpan pada file data yang divalidasi.
Ini adalah file holding sementara melalui mana tindakan trans yang divalidasi
 mengalir ke aplikasi masing-masing. File ini analog dengan tangki air yang
tingkatnya terus berubah, karena diisi dari atas oleh GVM dan emp terikat dari
bawah oleh aplikasi.
 File Kesalahan
File kesalahan dalam GDIS memainkan peran yang sama sebagai file
kesalahan tradisional.Catatan kesalahan terdeteksi selama validasi disimpan
dalam file, dikoreksi, dan kemudian dikirim kembali ke GVM.
 Laporan Kesalahan. Laporan kesalahan standar didistribusikan kepada
pengguna untuk memfasilitasi kesalahan koreksi. Misalnya, jika bidang rate
houri Y dalam catatan penggajian gagal pemeriksaan rentang, laporan
kesalahan akan menampilkan pesan kesalahan yang menyatakan masalah itu.
Port re juga akan menyajikan isi dari catatan yang gagal, bersama dengan
batas jangkauan yang dapat diterima yang diambil dari parameter.
 Log Transaksi. Log transaksi adalah catatan permanen dari semua transaksi
yang divalidasi. Dari sudut pandang catatan akuntansi, log transaksi setara
dengan jurnal dan merupakan elemen penting dalam jejak audit. Namun,
hanya transaksi yang berhasil (yang benar-benar diproses) yang harus
dimasukkan dalam jurnal. Jika transaksi akan menjalani pengujian validasi
tambahan selama fase penyelesaian pro (yang dapat menghasilkan
penolakan), transaksi harus dimasukkan dalam log aksi trans hanya setelah
benar-benar divalidasi. Masalah ini dibahas lebih lanjut di bagian berikutnya di
bawah Kontrol Kontrol Jejak.

2. Memproses Kontrol

Setelah melewati tahap input data, transaksi memasuki tahap pemrosesan

sistem. Kontrol pemrosesan dibagi menjadi tiga kategori: kontrol run-to-run, kontrol
kontrol ator operasi, dan Kontrol Jejak Audit.

a) Kontrol Run-to-Run

Sebelumnya, kami membahas persiapan figur kontrol batch sebagai elemen

kontrol input. Kontrol run-to-run menggunakan angka batch untuk memantau batch
saat bergerak dari satu prosedur terprogram (dijalankan) ke yang lain. Kontrol ini
memastikan bahwa setiap run dalam sistem memproses batch dengan benar dan
lengkap. Angka-angka kontrol batch dapat diperoleh baik dalam catatan kontrol
terpisah yang dibuat pada tahap input data atau laboratorium internal. Spesifik
ukuran kontrol run-to-run dijelaskan dalam paragraf berikut.

 Hitung Ulang Total Kontrol.

Setelah setiap operasi besar dalam proses dan setelah setiap run, bidang
jumlah dolar, total hash, dan jumlah catatan diakumulasikan dan dikompensasi
dengan nilai-nilai terkait yang disimpan dalam catatan kontrol. Jika catatan dalam
kelompok hilang, tidak diproses, atau diproses lebih dari satu kali, ini akan
diungkapkan oleh kecacatan di antara angka-angka ini.

 Kode Transaksi

Kode transaksi setiap record dalam batch dibandingkan dengan kode transaksi
yang terkandung dalam catatan kontrol. Ini memastikan bahwa hanya jenis
transaksi yang benar sedang diproses.

 Cek Berurutan

Dalam sistem yang menggunakan file master berurutan, urutan rekaman

tindakan trans dalam batch sangat penting untuk memperbaiki dan menyelesaikan
pemrosesan. Ketika batch bergerak melalui proses, itu harus diurutkan ulang
dalam urutan file master yang digunakan di setiap run. Kontrol pengecekan urutan
membandingkan urutan setiap record dalam batch dengan catatan sebelumnya
untuk memastikan bahwa penyortiran yang tepat terjadi.

Pada akhir dari proses penerimaan piutang, angka kontrol batch dihitung ulang
dan direkonsiliasi dengan total kontrol yang dilewatkan dari input data yang
dijalankan. Angka-angka ini kemudian diteruskan ke pembaruan inventaris
berjalan, di mana mereka kembali dihitung ulang, direkonsiliasi, dan diteruskan ke
output run. Kesalahan yang terdeteksi di setiap run ditandai dan ditempatkan
dalam file kesalahan. Angka-angka kontrol run-to-run (batch) kemudian
disesuaikan untuk mencerminkan penghapusan catatan-catatan ini.

b) Kontrol Intervensi Operator

Sistem kadang-kadang memerlukan intervensi operator untuk memulai

tindakan tertentu, seperti menghitung total kontrol untuk sejumlah catatan,
memberikan nilai parameter untuk operasi logis, dan mengaktifkan program dari
titik yang berbeda ketika masuk kembali catatan kesalahan yang diproses secara
semi. Intervensi operator meningkatkan potensi kesalahan manusia. Sistem yang
membatasi intervensi operator melalui kontrol intervensi operator dengan demikian
kurang rentan terhadap kesalahan pemrosesan. Meskipun mungkin mustahil untuk
menghilangkan keterlibatan operator sepenuhnya, nilai parameter dan titik awal
program harus, sejauh mungkin, dapat diturunkan secara logis atau diberikan ke
sistem melalui tabel pencarian.

c) Kontrol Jejak Audit

Pelestarian jejak audit adalah tujuan penting dari pengendalian proses. Dalam
sistem akuntansi, setiap transaksi harus dapat dilacak melalui setiap tahap
pemrosesan dari sumber ekonomi hingga penyajiannya dalam laporan keuangan.
Dalam lingkungan yang otomatis, jejak audit dapat menjadi terfragmentasi dan
sulit untuk diikuti. Dengan demikian menjadi penting bahwa setiap operasi besar
yang diterapkan pada transaksi harus didokumentasikan secara menyeluruh.
Berikut ini adalah contoh teknik yang digunakan untuk mempertahankan jejak
audit dalam sistem akuntansi berbasis komputer.

 Log Transaksi

Setiap transaksi yang berhasil diproses oleh sistem harus dicatat pada log
transaksi, yang berfungsi sebagai jurnal. Ada dua alasan untuk membuat log
transaksi. Pertama, log transaksi adalah catatan transaksi permanen. File
transaksi yang divalidasi yang dihasilkan pada fase input data biasanya adalah file
sementara. Setelah diproses, catatan pada file ini dihapus (tergores) untuk
memberi ruang bagi batch transaksi berikutnya. Kedua, tidak semua catatan
dalam file transaksi yang divalidasi dapat berhasil diproses. Beberapa catatan ini
mungkin gagal tes dalam tahap pemrosesan berikutnya. Log transaksi harus
hanya mengandung transaksi yang berhasil - transaksi yang telah mengubah
saldo akun. Kegagalan transaksi yang tidak berhasil harus ditempatkan dalam file
kesalahan. Log transaksi dan file kesalahan digabungkan harus memperhitungkan
semua transaksi dalam batch. File transaksi yang divalidasi kemudian dapat
tergores tanpa kehilangan data. Sistem harus menghasilkan daftar transaksi hard
copy dari semua transaksi yang sukses. Daftar ini harus diberikan kepada
pengguna yang sesuai untuk memfasilitasi rekonsiliasi dengan masukan.

 Log Transaksi Otomatis

 Beberapa transaksi dipicu secara internal oleh sistem. Contohnya adalah ketika
persediaan turun di bawah titik penyetelan ulang yang telah ditetapkan, dan sistem
secara otomatis memproses pesanan pembelian. Untuk mempertahankan jejak
audit dari kegiatan ini, semua transaksi yang dihasilkan secara internal harus
ditempatkan dalam log transaksi.

 Pencatatan Transaksi Otomatis

Untuk mempertahankan kendali atas transaksi otomatis yang diproses oleh

sistem, pengguna akhir yang bertanggung jawab harus menerima daftar terperinci
dari semua transaksi yang dihasilkan secara internal.

 Transaksi Unik

Setiap transaksi yang diproses oleh sistem harus diidentifikasi secara unik
dengan nomor transaksi. Ini adalah satu-satunya cara praktis untuk melacak
transaksi tertentu melalui database ribuan atau bahkan jutaan catatan. Dalam
sistem yang menggunakan dokumen sumber fisik, nomor unik yang tercetak pada
dokumen dapat ditranskripsikan selama input data dan digunakan untuk tujuan ini.
Dalam sistem real-time, yang tidak menggunakan dokumen sumber, sistem harus
menetapkan setiap transaksi nomor unik.

 Daftar Kesalahan

Daftar semua catatan kesalahan harus diberikan ke pengguna yang sesuai ke

sup koreksi kesalahan port dan resubmission.

3. Kontrol Output

Kontrol output memastikan bahwa output sistem tidak hilang, salah arah, atau
rusak dan privasi itu tidak dilanggar. Eksposur semacam ini dapat menyebabkan
gangguan serius pada operasi dan dapat mengakibatkan kerugian finansial bagi
perusahaan. Misalnya, jika cek yang dihasilkan oleh sistem pencairan uang tunai
perusahaan hilang, salah arah, atau dihancurkan, rekening perdagangan dan
tagihan lainnya mungkin tidak terbayarkan. Ini dapat merusak peringkat kredit
perusahaan dan mengakibatkan diskon, bunga, atau denda penalti yang hilang.
Jika privasi jenis output tertentu dilanggar, perusahaan dapat memiliki tujuan
bisnisnya disalahgunakan, atau bahkan dapat diekspos secara hukum. Contoh-
contoh eksposur privasi termasuk pengungkapan rahasia dagang, paten yang
tertunda, hasil riset pemasaran, dan rekam medis pasien.

Jenis metode pemrosesan yang digunakan mempengaruhi pilihan kontrol yang

digunakan untuk melindungi output sistem. Umumnya, sistem batch lebih rentan
terhadap paparan dan membutuhkan tingkat kontrol yang lebih besar daripada
sistem real-time. Di bagian ini, kami memeriksa eksposur output dan kontrol untuk
kedua metode.

a) Mengendalikan Output Sistem Batch

Sistem batch biasanya menghasilkan output dalam bentuk hard copy, yang
biasanya membutuhkan keterlibatan perantara dalam produksi dan distribusinya.
Output dikeluarkan dari printer oleh operator komputer, dipisahkan menjadi
lembaran dan dipisahkan dari laporan lain, ditinjau untuk kebenaran oleh petugas
kontrol data, dan kemudian dikirim melalui surat antar kantor kepada pengguna
akhir. Setiap tahap dalam proses ini adalah titik paparan potensial di mana output
dapat ditinjau, dicuri, disalin, atau salah arah. Eksposur tambahan terjadi ketika
memproses atau mencetak salah dan menghasilkan output yang tidak dapat
diterima oleh pengguna akhir. Laporan-laporan yang rusak atau sebagian rusak ini
sering dibuang ke tempat sampah. Penjahat komputer telah berhasil
menggunakan limbah tersebut untuk mencapai tujuan terlarang mereka.

Setelah itu, kami memeriksa teknik untuk mengontrol setiap fase dalam proses
output. Perlu diingat bahwa tidak semua teknik ini akan selalu berlaku untuk setiap
item yang dihasilkan oleh sistem. Seperti biasa, kontrol digunakan berdasarkan
biaya-manfaat yang ditentukan oleh sensitivitas data dalam laporan.

 Keluaran Spooling

Dalam operasi pemrosesan data skala besar, perangkat output seperti printer
garis dapat menjadi buntu dengan banyak program sekaligus menuntut sumber
daya yang terbatas ini. Backlog ini dapat menyebabkan kemacetan, yang
berdampak buruk pada throughput sistem. Aplikasi yang menunggu untuk
mencetak output menempati memori komputer dan memblokir aplikasi lain agar
tidak memasuki aliran pemrosesan. Untuk meringankan beban ini, aplikasi sering
dirancang untuk mengarahkan output mereka ke file disk magnetik daripada ke
 printer secara langsung. Ini disebut spooling output. Kemudian, ketika sumber
daya printer tersedia, file output dicetak.

Pembuatan file output sebagai langkah perantara dalam proses pencetakan

menyajikan paparan tambahan. Seorang penjahat komputer dapat menggunakan
kesempatan ini untuk melakukan salah satu tindakan tidak sah berikut:

 Akses file output dan ubah nilai data penting (seperti jumlah dolar pada cek).
Program printer kemudian akan mencetak output yang rusak seolah-olah
diproduksi oleh output yang dijalankan. Dengan menggunakan teknik ini,
seorang penjahat dapat secara efektif melampiaskan kontrol pemrosesan yang
dirancang ke dalam aplikasi.

 Akses file dan ubah jumlah salinan output yang akan dicetak.Salinan tambahan
kemudian dapat dihapus tanpa pemberitahuan selama tahap pencetakan.

 Buat salinan file output untuk menghasilkan laporan output ilegal.

 Hancurkan file output sebelum pencetakan output berlangsung.

Auditor harus menyadari eksposur potensial ini dan memastikan bahwa akses
yang tepat dan prosedur cadangan tersedia untuk melindungi file output.

 Program Cetak

Saat printer tersedia, program cetak lari akan menghasilkan output hard copy
dari file output. Program cetak seringkali merupakan sistem rumit yang
memerlukan intervensi operator. Empat jenis tindakan operator umum adalah
sebagai berikut:

1. Menjeda program cetak untuk memuat jenis dokumen output yang benar
(periksa stok, faktur, atau formulir khusus lainnya).

2. Memasukkan parameter yang dibutuhkan oleh hasil cetak, seperti jumlah

salinan yang akan dicetak.

3. Memulai kembali proses cetak di pos pemeriksaan yang ditentukan setelah

kegagalan fungsi printer.

4. Menghapus hasil cetak dari printer untuk diperiksa dan didistribusikan.

 Kontrol program cetak dirancang untuk menangani dua jenis eksposur yang
disajikan oleh lingkungan ini: (1) produksi salinan output yang tidak sah dan (2)
penjelajahan pengguna dari data sensitif. Beberapa program cetak memungkinkan
operator untuk menentukan lebih banyak salinan output daripada panggilan file
keluaran, yang memungkinkan untuk kemungkinan memproduksi salinan output
yang tidak sah. Salah satu cara untuk mengendalikan ini adalah dengan
menggunakan kontrol dokumen output yang serupa dengan kontrol dokumen
sumber yang dibahas sebelumnya. Ini berlaku ketika berhadapan dengan faktur
prenumbered untuk pelanggan penagihan atau stok cek yang diberi nomor. Pada
akhir proses, jumlah salinan yang ditentukan oleh file output dapat direkonsiliasi
dengan jumlah dokumen output aktual yang digunakan. Dalam kasus di mana
dokumen output tidak diberi nomor, pengawasan mungkin merupakan teknik kontrol
yang paling efektif. Petugas keamanan dapat hadir selama pencetakan output
sensitif.

Untuk mencegah operator melihat output yang sensitif, kertas multipartai khusus
dapat digunakan, dengan salinan berwarna hitam untuk mencegah pencetakan
dibaca. Jenis produk ini, yang diilustrasikan pada Gambar 7.l3, sering digunakan
untuk mencetak cek pembayaran gaji. Penerima cek memisahkan salinan atas dari
badan pemeriksaan, yang berisi perincian yang dapat dibaca. Kontrol privasi
alternatif adalah mengarahkan output ke printer jarak jauh khusus yang dapat
diawasi dengan ketat.

 Ledakan

Ketika laporan output dihapus dari printer, mereka pergi ke tahap burst untuk
memisahkan halaman dan menyusunnya. Kekhawatiran di sini adalah bahwa
petugas yang meledak dapat membuat salinan laporan yang tidak sah, menghapus
halaman dari laporan, atau membaca informasi sensitif. Kontrol utama terhadap
eksposur ini adalah pengawasan. Untuk laporan yang sangat sensitif, peleburan
dapat dilakukan oleh pengguna akhir.

 Limbah

Limbah output komputer merupakan paparan potensial. Penting untuk

menghapus laporan yang dibatalkan dan salinan karbon dari kertas multipartai yang
dilepaskan selama meledak dengan benar. Penjahat komputer telah dikenal untuk
menyaring melalui tong sampah mencari keluaran yang dibuang sembarangan yang
dianggap oleh orang lain tidak berharga. Dari sampah seperti itu, penjahat komputer
dapat memperoleh sepotong kunci informasi tentang riset pasar perusahaan,
peringkat kredit pelanggannya, atau bahkan rahasia dagang yang dapat dijualnya
kepada pesaing. Limbah komputer juga merupakan sumber data teknis, seperti kata
sandi dan tabel otoritas, yang dapat digunakan pelaku untuk mengakses file data
perusahaan. Melewati mesin penghancur kertas dapat dengan mudah
menghancurkan output komputer yang sensitif.

 Kontrol Data

Di beberapa organisasi, kelompok kontrol data bertanggung jawab untuk

memverifikasi akurasi output komputer sebelum didistribusikan kepada pengguna.
Biasanya, petugas kontrol data akan meninjau angka-angka kontrol bets untuk
keseimbangan; memeriksa badan laporan untuk data yang rusak, tidak terbaca, dan
hilang; dan mencatat penerimaan laporan dalam log kontrol batch kontrol data.
Untuk laporan yang berisi data yang sangat sensitif, pengguna akhir dapat
melakukan tugas-tugas ini. Dalam hal ini, laporan akan melewati grup kontrol data
dan langsung menuju ke pengguna.

 Distribusi Laporan

Risiko utama yang terkait dengan distribusi laporan termasuk laporan hilang,
dicuri, atau salah arah saat transit kepada pengguna. Sejumlah kontrol mea sures
dapat meminimalkan eksposur ini. Misalnya, ketika laporan dibuat, nama dan
alamat pengguna harus dicetak pada laporan. Untuk laporan multikopi, file alamat
pengguna yang sah harus dikonsultasikan untuk mengidentifikasi setiap penerima
laporan. Mempertahankan kontrol akses yang memadai atas file ini menjadi sangat
penting. Jika individu yang tidak sah dapat menambahkan namanya ke daftar
pengguna yang sah, ia akan menerima salinan laporan. Untuk laporan yang sangat
sensitif, teknik distribusi berikut dapat digunakan:

 Laporan dapat ditempatkan dalam kotak pesan aman yang hanya dimiliki oleh
pengguna.

 Pengguna mungkin diminta untuk muncul sendiri di pusat distribusi dan

menandatangani laporan.
 Petugas keamanan atau kurir khusus dapat mengirimkan laporan kepada
pengguna.

 Kontrol Pengguna Akhir

Setelah berada di tangan pengguna, laporan output harus ditinjau ulang untuk
setiap kesalahan yang mungkin telah menghindari tinjauan panitera kontrol data.
Pengguna berada dalam posisi yang jauh lebih baik untuk mengidentifikasi
kesalahan halus dalam laporan yang tidak diungkapkan oleh ketidakseimbangan
total kontrol. Kesalahan yang dideteksi oleh pengguna harus dilaporkan ke
manajemen layanan komputer yang sesuai. Kesalahan tersebut mungkin
merupakan gejala dari desain sistem yang tidak benar, prosedur yang salah,
kesalahan yang dimasukkan secara tidak sengaja selama pemeliharaan sistem,
atau akses tidak sah ke file data atau program.

Setelah laporan telah memenuhi tujuannya, itu harus disimpan di lokasi yang
aman sampai periode retensinya telah berakhir. Faktor-faktor yang mempengaruhi
lamanya waktu laporan hard copy dipertahankan meliputi:

 Persyaratan hukum yang ditentukan oleh lembaga pemerintah, seperti IRS.

 Jumlah salinan laporan yang ada. Ketika ada banyak salinan, beberapa di
antaranya mungkin ditandai untuk penyimpanan permanen, sementara sisanya
dapat dihancurkan setelah digunakan.

 Adanya gambar-gambar magnetik atau optik dari laporan yang dapat bertindak
sebagai cadangan permanen.

b) Mengontrol Output Sistem Real-Time

Sistem real-time mengarahkan output mereka ke layar komputer, terminal, atau

printer pengguna. Metode distribusi ini menghilangkan berbagai perantara dalam
perjalanan dari pusat komputer ke pengguna dan dengan demikian mengurangi
banyak eksposur yang sebelumnya disinggung. Ancaman utama terhadap output
real-time adalah intersepsi, gangguan, penghancuran, atau korupsi dari pesan
output ketika melewati sepanjang hubungan komunikasi. Ancaman ini berasal dari
 dua jenis eksposur: (1) eksposur dari kegagalan peralatan; dan (2) eksposur dari
tindakan subversif, di mana kriminal komputer memotong pesan keluar yang
ditransmisikan antara pengirim dan penerima.

B. MENGUJI PENGENDALIAN APLIKASI KOMPUTER

Bagian ini membahas beberapa teknik untuk mengaudit aplikasi komputer.

Teknik pengujian kontrol memberikan informasi tentang akurasi dan kelengkapan
proses aplikasi. Tes-tes ini mengikuti dua pendekatan umum: (1) pendekatan kotak
hitam (di sekitar komputer) dan (2) pendekatan kotak putih (melalui komputer).
Kami pertama memeriksa pendekatan kotak hitam dan kemudian meninjau
beberapa teknik pengujian kotak putih.

1. Pendekatan Black-Box

Pengujian auditor dengan pendekatan kotak hitam tidak bergantung pada

pengetahuan rinci dari logika internal aplikasi. Sebaliknya, mereka berusaha
memahami karakteristik fungsional aplikasi dengan menganalisis bagan alur dan
mewawancarai personel berpengetahuan di organisasi klien. Dengan pemahaman
tentang apa yang seharusnya dilakukan oleh aplikasi, auditor menguji aplikasi
dengan mendamaikan transaksi input produksi yang dipuji oleh aplikasi dengan
hasil keluaran. Hasil output dianalisis untuk memverifikasi kepatuhan aplikasi
dengan persyaratan fungsionalnya.

Keuntungan pendekatan black-box adalah bahwa aplikasi tidak perlu dihapus

dari layanan dan diuji secara langsung. Pendekatan ini layak untuk menguji aplikasi
yang relatif sederhana. Namun, aplikasi yang kompleks - aplikasi yang menerima
masukan dari banyak sumber, melakukan berbagai operasi, atau menghasilkan
beberapa keluaran - membutuhkan pendekatan pengujian yang lebih terfokus
untuk memberikan bukti integritas aplikasi kepada auditor.

2. Pendekatan White-Box

Pendekatan kotak putih bergantung pada pemahaman mendalam tentang logika

internal aplikasi yang sedang diuji. Pendekatan kotak putih mencakup beberapa
teknik untuk menguji logika aplikasi secara langsung. Teknik-teknik ini
menggunakan sejumlah kecil transaksi uji yang dibuat khusus untuk memverifikasi
aspek-aspek tertentu dari logika dan kontrol aplikasi. Dengan cara ini, auditor
mampu melakukan tes yang tepat, dengan variabel yang diketahui, dan
memperoleh hasil yang dapat mereka bandingkan dengan hasil yang dihitung
secara obyektif. Beberapa jenis tes kontrol yang lebih umum termasuk yang
berikut:

 Tes keaslian, yang memverifikasi bahwa individu, prosedur terprogram, atau

pesan (seperti transmisi EDI) yang mencoba mengakses sistem adalah otentik.
Kontrol keaslian termasuk ID pengguna, kata sandi, kode vendor yang valid, dan
tabel otoritas.

 Tes akurasi, yang memastikan bahwa sistem hanya memproses nilai data yang
sesuai dengan toleransi yang ditentukan. Contohnya termasuk tes jangkauan,
uji lapangan, dan uji batas.

 Uji kelengkapan, yang mengidentifikasi data yang hilang dalam satu rekaman
dan seluruh catatan yang hilang dari kumpulan. Jenis-jenis tes yang dilakukan
adalah tes lapangan, tes urutan rekaman, total hash, dan total kontrol.

 Uji redundansi, yang menentukan bahwa aplikasi memproses setiap catatan

hanya sekali. Kontrol redundansi termasuk rekonsiliasi total batch, jumlah
catatan, total hash, dan total kontrol keuangan.

 Tes akses, yang memastikan bahwa aplikasi mencegah pengguna yang sah dari
akses yang tidak sah ke data. Kontrol akses mencakup kata sandi, tabel
otoritas, prosedur yang ditentukan pengguna, enkripsi data, dan kontrol
inferensi.

 Tes jejak audit, yang memastikan bahwa aplikasi menciptakan jejak audit yang
memadai. Ini termasuk bukti bahwa aplikasi mencatat semua transaksi dalam
log transaksi, mengeposkan nilai data ke akun yang sesuai, menghasilkan daftar
transaksi lengkap, dan menghasilkan file kesalahan dan laporan untuk semua
pengecualian.

 Uji kesalahan pembulatan, yang memverifikasi kebenaran prosedur pembulatan.

Bulating kesalahan terjadi dalam informasi akuntansi ketika tingkat presisi yang
digunakan dalam perhitungan lebih besar dari yang digunakan dalam pelaporan.
Misalnya, perhitungan bunga pada saldo rekening bank mungkin memiliki presisi
lima tempat desimal, sedangkan hanya dua tempat desimal yang diperlukan
untuk melaporkan saldo. Jika tiga tempat deci mal yang tersisa dijatuhkan, maka
 total bunga yang dihitung untuk jumlah total akun mungkin tidak sama dengan
jumlah perhitungan individu.

Teknik ini menggunakan akumulator untuk melacak perbedaan pembulatan

antara saldo dihitung dan dilaporkan. Perhatikan bagaimana tanda dan nilai absolut
dari jumlah dalam accumulator menentukan bagaimana akun pelanggan
dipengaruhi oleh pembulatan.

Kegagalan untuk memperhitungkan secara tepat perbedaan pembulatan ini

dapat mengakibatkan ketidakseimbangan antara jumlah total (kontrol) bunga dan
jumlah perhitungan bunga individu untuk setiap akun. Akuntansi yang buruk untuk
pembulatan perbedaan juga bisa menghadirkan peluang untuk penipuan.

Program pembulatan sangat rentan terhadap penipuan salami. Salami penipuan

cenderung mempengaruhi sejumlah besar korban, tetapi kerusakannya tidak
material. Jenis penipuan ini mengambil namanya dari analogi pemotongan salami
besar (tujuan penipuan) menjadi banyak potongan tipis. Setiap korban
mengasumsikan salah satu dari potongan-potongan kecil ini dan tidak sadar ditipu.
Misalnya, seorang programmer, atau seseorang dengan akses ke yang sebelumnya
pembulatan program, dapat melakukan penipuan salami dengan memodifikasi
logika pembulatan sebagai berikut: pada titik dalam proses di mana algoritma harus
meningkatkan akun pelanggan (yaitu, nilai akumulator adalah> +.01), program
malah menambahkan satu sen ke akun lain - akun pelaku. Meskipun jumlah absolut
dari setiap transaksi penipuan kecil, mengingat ribuan akun diproses, jumlah total
penipuan dapat menjadi signifikan dari waktu ke waktu.

Jejak audit sistem operasi dan perangkat lunak audit dapat mendeteksi aktivitas
file yang berlebihan. Dalam kasus penipuan salami, akan ada ribuan entri ke akun
pribadi kriminal inal komputer yang dapat dideteksi dengan cara ini. Seorang
programmer yang pandai dapat menyamarkan aktivitas ini dengan menyalurkan
entri-entri ini melalui beberapa akun sementara menengah, yang kemudian
diposting ke sejumlah kecil akun perantara dan akhirnya ke akun pribadi
pemrogram. Dengan menggunakan banyak level akun dengan cara ini, aktivitas ke
akun mana pun berkurang dan mungkin tidak terdeteksi oleh perangkat lunak audit.
Akan ada jejak, tetapi bisa rumit. Auditor yang ahli juga dapat menggunakan
perangkat lunak audit untuk mendeteksi keberadaan akun perantara yang tidak sah
yang digunakan dalam penipuan semacam itu.
C. ALAT AUDIT DAN TEKNIK AUDIT YANG DIBUTUHKAN UNTUK
PENGENDALIAN PENGUJIAN

Untuk mengilustrasikan bagaimana kontrol aplikasi diuji, bagian ini menjelaskan

lima pendekatan CAATT: metode data uji, yang meliputi evaluasi sistem dasar dan
pelacakan, fasilitas pengujian terintegrasi, dan simulasi paralel.

1. Uji Metode Data

Metode data uji digunakan untuk membangun integritas aplikasi dengan

memproses set data input yang disiapkan secara khusus melalui aplikasi produksi
yang sedang ditinjau. Hasil masing-masing tes dibandingkan dengan harapan yang
telah ditentukan untuk memperoleh evaluasi obyektif logika aplikasi dan efektivitas
pengendalian. Untuk melakukan teknik data uji, auditor harus mendapatkan salinan
dari versi aplikasi saat ini. Selain itu, uji file transaksi dan file master uji harus
dibuat. Transaksi pengujian dapat memasuki sistem dari pita magnetik, disk, atau
melalui terminal input. Hasil dari uji coba akan berupa laporan keluaran rutin, daftar
transaksi, dan laporan kesalahan. Selain itu, auditor harus meninjau file induk yang
diperbarui untuk menentukan bahwa saldo akun telah diperbarui dengan benar.
Hasil tes kemudian dibandingkan dengan hasil ekspektoran yang ditentukan oleh
auditor untuk menentukan apakah aplikasi berfungsi dengan benar. Perbandingan
ini dapat dilakukan secara manual atau melalui perangkat lunak komputer khusus.

Angka tersebut juga menunjukkan laporan kesalahan transaksi ditolak dan

daftar file master piutang yang diperbarui. Setiap penyimpangan antara hasil aktual
yang diperoleh dan yang diharapkan oleh auditor dapat menunjukkan masalah
logika atau kontrol.

a) Membuat Data Uji

Saat membuat data uji, auditor harus menyiapkan satu set lengkap dari
transaksi yang valid dan tidak valid. Jika data uji tidak lengkap, auditor mungkin
gagal untuk memeriksa cabang kritis logika aplikasi dan rutinitas pengecekan
kesalahan. Uji transaksi harus menguji setiap kesalahan input yang mungkin,
proses logis, dan ketidakteraturan.

Mendapatkan pengetahuan tentang logika internal aplikasi yang cukup untuk

membuat data pengujian yang berarti sering membutuhkan investasi waktu yang
besar. Namun, efisiensi tugas ini dapat ditingkatkan melalui perencanaan yang
matang selama pengembangan sistem. Auditor harus menyimpan data uji yang
digunakan untuk menguji modul program selama fase implementasi SDLC untuk
penggunaan di masa mendatang. Jika aplikasi tidak mengalami pemeliharaan
sejak implementasi awal, hasil tes audit saat ini harus sama dengan hasil tes yang
diperoleh pada saat implementasi. Namun, jika aplikasi telah dimodifikasi, auditor
dapat membuat data uji tambahan yang fokus pada bidang perubahan program.

b) Evaluasi Sistem Kasus Dasar

Ada beberapa varian dari teknik data uji. Ketika rangkaian data uji yang
digunakan bersifat komprehensif, teknik ini disebut evaluasi sistem base case
(BeSE). Tes BCSE dilakukan dengan serangkaian transaksi pengujian yang berisi
semua jenis transaksi yang mungkin. Ini diproses melalui iterasi berulang selama
tes pengembangan sistem hingga hasil yang konsisten dan valid diperoleh. Hasil
ini adalah kasus dasar. Ketika perubahan berikutnya pada aplikasi terjadi selama
pemeliharaan, efeknya dievaluasi dengan membandingkan hasil saat ini dengan
hasil kasus dasar.

c) Tracing

Tipe lain dari teknik data uji yang disebut penelusuran melakukan perjalanan
elektronik melalui logika internal aplikasi. Prosedur pelacakan melibatkan tiga
langkah:

1. Aplikasi yang sedang diperiksa harus menjalani kompilasi khusus untuk

mengaktifkan opsi jejak.

2. Transaksi khusus atau jenis transaksi dibuat sebagai data uji.

3. Transaksi data uji dilacak melalui semua tahapan pemrosesan program, dan
daftar dihasilkan dari semua instruksi terprogram yang dilaksanakan selama
pengujian.

d) Keuntungan Teknik Uji Data

Ada tiga keunggulan utama teknik data uji. Pertama, mereka menggunakan
melalui pengujian komputer, sehingga menyediakan auditor dengan bukti eksplisit
mengenai fungsi aplikasi. Kedua, jika direncanakan dengan benar, uji coba data
dapat digunakan hanya dengan gangguan minimal terhadap operasi organisasi.
Ketiga, mereka hanya membutuhkan keahlian komputer minimal di pihak auditor.
e) Kekurangan Teknik Uji Data

Kerugian utama dari semua teknik data uji adalah bahwa auditor harus
bergantung pada personel layanan komputer untuk mendapatkan salinan aplikasi
untuk tujuan pengujian. Ini memerlukan risiko bahwa layanan komputer dapat
secara sengaja atau tidak sengaja memberikan versi aplikasi yang salah kepada
auditor dan dapat mengurangi keandalan bukti audit. Secara umum, bukti audit
yang dikumpulkan oleh sarana independen lebih dapat diandalkan daripada bukti
yang diberikan oleh klien.

Kelemahan kedua dari teknik ini adalah bahwa mereka memberikan gambaran
statis tentang integritas aplikasi pada satu titik waktu. Mereka tidak menyediakan
sarana yang nyaman untuk mengumpulkan bukti tentang fungsionalitas aplikasi
yang sedang berlangsung. Tidak ada bukti bahwa aplikasi yang diuji hari ini
berfungsi seperti yang dilakukan selama tahun yang diuji.

Kerugian ketiga dari teknik data uji adalah biaya pelaksanaannya yang relatif
tinggi, yang menghasilkan inefisiensi audit. Auditor dapat mencurahkan banyak
waktu untuk memahami logika program dan membuat data uji. Pada bagian
berikutnya, kita melihat bagaimana teknik pengujian otomatis dapat menyelesaikan
masalah ini.

2. Fasilitas Uji Terpadu

Pendekatan fasilitas tes terpadu (ITF) adalah teknik otomatis yang

memungkinkan auditor menguji logika dan kontrol aplikasi selama operasi normal.
ITF adalah satu atau lebih modul audit yang dirancang ke dalam aplikasi selama
proses pengembangan sistem. Selain itu, database ITF berisi "dummy" atau
catatan file master uji terintegrasi dengan catatan yang sah. Beberapa perusahaan
membuat perusahaan dummy yang transaksi uji diposting. Selama operasi normal,
transaksi tes digabungkan ke dalam aliran input dari transaksi reguler (produksi)
dan diproses terhadap file perusahaan dummy. Gambar 7.19 mengilustrasikan
konsep ITF.

Modul audit ITF dirancang untuk membedakan antara transaksi IIF dan data
produksi rou tine. Ini dapat dilakukan dengan berbagai cara. Salah satu hal yang
paling penting dan paling sering digunakan adalah menetapkan kisaran unik nilai-
nilai kunci secara eksklusif untuk transaksi ITF. Misalnya, dalam sistem
pemrosesan pesanan penjualan, nomor rekening adalah dua belas tahun 2000 dan
2100 dapat dipesan untuk transaksi IIF dan tidak akan ditetapkan ke akun
pelanggan yang sebenarnya. Dengan memisahkan transaksi IIF dari transaksi
yang sah dengan cara ini, laporan rutin yang dihasilkan oleh aplikasi tidak rusak
oleh data uji ITF. Hasil pengujian diproduksi secara terpisah pada media
penyimpanan atau hasil cetak hard disk dan disumbangkan langsung kepada
auditor. Sama halnya dengan teknik data uji, auditor menganalisis hasil ITF
terhadap hasil yang diharapkan.

 Keuntungan dari lTF

Teknik ITF memiliki dua keunggulan dibandingkan teknik data uji. Pertama, ITF
mendukung pemantauan pemantauan yang dilakukan sebagaimana diperlukan
oleh SAS 78. Kedua, aplikasi dengan IIF dapat diuji secara ekonomis tanpa
mengganggu operasi pengguna dan tanpa campur tangan antar personel layanan
komputer. Dengan demikian, ITF meningkatkan efisiensi audit dan meningkatkan
keandalan bukti audit yang dikumpulkan.

 Kekurangan lTF

Kerugian utama dari IIF adalah potensi untuk merusak file data organisasi
dengan data uji. Langkah-langkah harus diambil untuk memastikan bahwa
transaksi pengujian ITF tidak mempengaruhi secara material laporan keuangan
dengan secara tidak benar digabungkan dengan transaksi yang sah. Masalah ini
diperbaiki dalam dua cara: (1) entri penyesuaian dapat dianggap menghapus efek
ITF dari saldo akun buku besar atau (2) file data dapat dipindai oleh perangkat
lunak khusus yang menghapus transaksi ITF.

3. Simulasi Paralel

Paralel simulasi mengharuskan auditor untuk menulis program yang

mensimulasikan fitur utama atau proses aplikasi yang sedang ditinjau. Aplikasi
simulasi kemudian digunakan untuk memproses kembali transaksi yang
sebelumnya diproses oleh aplikasi produksi. Teknik ini diilustrasikan pada Gambar
7.20. Hasil-hasil yang diperoleh dari simulasi tersebut diolah kembali dengan hasil-
hasil produksi awal dijalankan untuk menetapkan suatu dasar pembuatan
kesimpulan tentang kualitas proses aplikasi dan kontrol.
 a. Membuat Program Simulasi

Program simulasi dapat ditulis dalam bahasa pemrograman apa pun. Namun,
karena sifat satu-kali dari tugas ini, itu adalah kandidat untuk pembuat gen bahasa
generasi keempat. Langkah-langkah yang terlibat dalam melakukan pengujian
simulasi paralel diuraikan di sini.

1. Auditor harus terlebih dahulu mendapatkan pemahaman menyeluruh tentang

aplikasi di bawah tampilan kembali. Dokumentasi lengkap dan terkini dari
aplikasi diperlukan untuk menyusun simulasi yang akurat.

2. Auditor kemudian harus mengidentifikasi proses dan kontrol tersebut dalam

aplikasi yang sangat penting untuk audit. Ini adalah proses yang akan
disimulasikan.

3. Auditor menciptakan simulasi menggunakan perangkat lunak audit 4GL atau

umum (GAS).

4. Auditor menjalankan program simulasi menggunakan transaksi produksi yang

dipilih dan file master untuk menghasilkan serangkaian hasil.

5. Akhirnya, auditor mengevaluasi dan merekonsiliasi hasil pengujian dengan

hasil produksi sults yang diproduksi dalam lari sebelumnya.

Program simulasi biasanya kurang kompleks daripada aplikasi produksi yang

mereka wakili. Karena simulasi hanya berisi proses aplikasi, perhitungan, dan
kontrol yang relevan dengan tujuan audit tertentu, auditor harus hati-hati
mengevaluasi perbedaan antara hasil tes dan hasil produksi. Perbedaan hasil
output terjadi karena dua alasan: (1) kekasaran melekat program simulasi dan (2)
defisiensi nyata dalam proses aplikasi atau kontrol, yang dibuat jelas oleh program
simulasi.

KESIMPULAN

Hal ini membahas masalah-masalah yang terkait dengan penggunaan alat dan
teknik audit yang dibantu komputer (CAATTs) untuk melakukan tes pengendalian
aplikasi dan ekstraksi data. Bab ini dimulai dengan menjelaskan tiga kelas besar dari
kontrol aplikasi: kontrol input, kontrol pemrosesan, dan kontrol output. Kontrol input,
yang mengatur pengumpulan dan penyisipan data ke dalam sistem, berusaha
memastikan bahwa semua transaksi data valid, akurat, dan lengkap. Kontrol
pemrosesan berusaha menjaga integritas catatan individu dan kumpulan rekaman
dalam sistem dan harus memastikan bahwa jejak audit yang memadai dipertahankan.

Tujuan dari kontrol output adalah untuk memastikan bahwa informasi yang
dihasilkan oleh sistem tidak hilang, salah arah, atau tunduk pada pelanggaran privasi.
Selanjutnya, kotak hitam dan kotak putih mendekati untuk menguji kontrol aplikasi
telah ditinjau. Teknik kotak hitam melibatkan audit di sekitar komputer. Pendekatan
kotak putih membutuhkan pemahaman rinci tentang logika aplikasi. Lima jenis CAATT
yang umumnya digunakan untuk menguji logika aplikasi kemudian diperiksa: metode
data uji, evaluasi sistem base case, penelusuran, fasilitas uji terintegrasi, dan simulasi
paralel.

REFERENSI

Hall, James A. 2011. Information Technology Auditing and Assurance. Cengage

Learning.